Tehdit istihbarat firması Cyble tarafından yapılan yeni bir soruşturma, 20’den fazla kötü niyetli Android uygulamasına sahip Google Play Store aracılığıyla kripto para birimi kullanıcılarını hedefleyen bir kampanya tespit etti.
Sushiswap, Pancakeswap, Hipliquid ve Raydium gibi güvenilir kripto cüzdanları olarak gizlenen bu uygulamalar, kullanıcıların 12 kelimelik anımsatıcı ifadeleri, kripto fonlarının kilidini açan anahtarları hasat ettiği bulundu.
Bu uygulamalar meşru cüzdan arayüzlerini taklit ederek, kullanıcıları hassas kurtarma cümlelerine girmeye çekiyor. Saldırganlar girildikten sonra gerçek cüzdanlara erişebilir ve boşaltabilir. Google, Cyble’ın raporunu takiben bu sahte uygulamaların birçoğunu kaldırmış olsa da, mağazada bir avuç kaldı ve kaldırılması için işaretlendi.
Aldatmaca nasıl çalışır
Cyble’ın hackread.com ile paylaşılan raporuna göre, hileli uygulamalar tanınmış kripto platformlarının adlarını ve simgelerini taşıyor ve daha önce oyunlar, video indiricileri ve akış araçları da dahil olmak üzere gerçek uygulamaları barındıran geliştirici hesapları altında yer alıyor. Bazıları 100.000’den fazla indirme olan bu hesaplar, kötü amaçlı uygulamaları dağıtmak için kaçırılmış ve yeniden tasarlanmış gibi görünmektedir.
Bazı durumlarda, uygulamalar kimlik avı web sitelerini Android uygulamalarına hızlı bir şekilde dönüştürmek için “medyan çerçeve” olarak bilinen bir geliştirme aracı kullanır. Uygulamalar, bu kimlik avı sayfalarını doğrudan bir WebView, gömülü bir tarayıcı penceresinin içine yükler, bu da kullanıcılardan cüzdan erişimi kisvesi altındaki anımsatıcı ifadelerini isteyen.
Kampanya sadece ölçekte yaygın değil, aynı zamanda altyapısında da koordine ediliyor. Cyble tarafından bulunan bir kimlik avı alanı, cüzdan güvenliğini tehlikeye atmak için aynı daha geniş çabanın bir parçası olan 50’den fazla benzer alana bağlandı.
Cyble’ın araştırmacıları ayrıca bu sahte uygulamaların nasıl çalıştığı konusunda bir model fark ettiler. Birçoğu, gizlilik politikalarında, kullanıcıların cüzdan kurtarma ifadelerini çalmak için tasarlanmış kimlik avı web sitelerine yol açan bağlantılar içerir. Uygulamalar ayrıca, bunları hızlı bir şekilde oluşturmak ve yayınlamak için otomatik araçların kullanılmasına işaret eden benzer adlandırma stillerini takip etme eğilimindedir.
Bunun da ötesinde, daha büyük ve organize bir çabanın parçası olduklarını gösteren aynı sunuculara veya web sitelerine birkaç uygulama bağlanır. Bu uygulamalara bağlı sahte alanlardan bazıları şunları içerir:
bullxnisbshyperliqwsbsraydifloydczsushijamessbspancakefentfloydcz
Bu alanlar, çeşitli cüzdan sağlayıcılarını taklit eder ve kullanıcıları tohum cümlelerini teslim etmek için kandırmayı amaçlayan sayfalar sunar. Bu arada, Cyble’ın izniyle kötü amaçlı uygulamaların kısmi listesi aşağıda mevcuttur:
- Raydium
- Sushiswap
- Suiet cüzdanı
- Hiperliik
- Bullx kripto
- Gözleme takası
- Meteora Borsası
- Openocean Borsası
- Hasat Finans Blogu
Uygulamaları kaldırma çabalarına rağmen, kampanya devam ediyor. Bu rapordan itibaren, birkaçı oyun mağazasında aktif kalıyor. Bu uygulamaların hazır çerçeveler kullanılarak hızlı bir şekilde çoğaltılması, saldırganların hızlı bir şekilde engellenmezse daha fazla sahte uygulamaları kolayca döndürebileceğini düşündürmektedir.
Bu ciddi bir risk oluşturur. Geleneksel bankacılığın aksine, kripto hırsızlığı için güvenlik ağı yoktur. Bir cüzdan boşaltıldıktan sonra, fonların iyileşmesi neredeyse imkansızdır.
Cyble, güvenlik profesyonellerinin daha fazla engellemek veya araştırmak için kullanabileceği uygulama adları, paket tanımlayıcıları ve kimlik avı alanları dahil olmak üzere ayrıntılı uzlaşma (IOCS) göstergelerini paylaştı.
Bu kampanya, saldırganların uygulama mağazaları gibi resmi kanallar aracılığıyla zaten savunmasız kripto alanını nasıl hedeflemeye devam ettiğini gösteriyor. Uygulama platformları kötü niyetli yüklemeler yakalamak için çalışırken, kullanıcılar bu siber güvenlik tehditlerinin alıcı ucunda kalırlar. Bu nedenle, kullanıcıların kendilerini korumak için bu adımları dikkate ve izlemeleri istenir:
Düşük inceleme sayıları, yakın zamanda yeniden yayınlanan uygulamalar veya gizlilik politikalarında garip alanlara bağlantılar gibi kırmızı bayrakları izleyin.
- Gereksiz uygulamaları indirmek ve yüklemekten kaçının.
- Potansiyel olarak zararlı uygulamaları belirlemeye yardımcı olmak için Google Play Protect’i etkinleştirin.
- Mümkün olan yerlerde biyometrik güvenlik ve iki faktörlü kimlik doğrulama kullanın.
- Üçüncü taraf ve resmi mağazalardan uygulamaları indirirken daima dikkat edin.
- Meşru olduğundan emin değilseniz, 12 kelimelik ifadenizi asla herhangi bir uygulamaya veya web sitesine girmeyin.